Cozy Bear , классифицированная федеральным правительством США как продвинутая постоянная угроза APT29 , является российской хакерской группой, предположительно связанной с одним или несколькими разведывательными агентствами России . Голландская служба общей разведки и безопасности (AIVD) сделала вывод из записей с камер видеонаблюдения, что ею руководит Служба внешней разведки России (СВР), [5] точку зрения, разделяемую Соединенными Штатами . [4] Фирма по кибербезопасности CrowdStrike также ранее предполагала, что она может быть связана либо с Федеральной службой безопасности России (ФСБ), либо с СВР. [2] Другие фирмы по кибербезопасности давали группе различные прозвища, включая CozyCar , [6] CozyDuke [7] [8] (от F-Secure ), Dark Halo , The Dukes (от Volexity), Midnight Blizzard [9] (от Microsoft ), NOBELIUM , Office Monkeys , StellarParticle , UNC2452 и YTTRIUM .
20 декабря 2020 года было сообщено, что Cozy Bear несет ответственность за кибератаку на суверенные национальные данные США, предположительно по указанию российского правительства. [10]
«Лаборатория Касперского» определила, что самые ранние образцы вредоносного ПО MiniDuke, приписываемые этой группировке, датируются 2008 годом. [1] Оригинальный код был написан на языке ассемблера . [11] Symantec полагает, что Cozy Bear взломал дипломатические организации и правительства как минимум с 2010 года. [12]
Вредоносная программа CozyDuke использует бэкдор и дроппер . Вредоносная программа выкачивает данные на сервер управления и контроля . Злоумышленники могут адаптировать вредоносную программу к среде. [1] Компоненты бэкдора вредоносной программы Cozy Bear со временем обновляются с изменениями в криптографии , троянской функциональности и антиобнаружении. Скорость, с которой Cozy Bear разрабатывает и развертывает свои компоненты, напоминает набор инструментов Fancy Bear, который также использует инструменты CHOPSTICK и CORESHELL. [13]
Набор вредоносных инструментов CozyDuke от Cozy Bear структурно и функционально похож на компоненты второго этапа, используемые в ранних операциях Miniduke, Cosmicduke и OnionDuke. Модуль второго этапа вредоносного ПО CozyDuke, Show.dll, по-видимому, был построен на той же платформе, что и OnionDuke, что позволяет предположить, что авторы работают вместе или являются одними и теми же людьми. [13] Кампании и используемые ими наборы вредоносных инструментов называются Dukes, включая Cosmicduke, Cozyduke и Miniduke. [12] CozyDuke связан с кампаниями MiniDuke и CosmicDuke, а также с кампанией кибершпионажа OnionDuke. Каждая группа угроз отслеживает свои цели и использует наборы инструментов, которые, вероятно, были созданы и обновлены русскоязычными пользователями. [1] После разоблачения MiniDuke в 2013 году обновления вредоносного ПО были написаны на C / C++ и были упакованы новым обфускатором . [11]
Cozy Bear подозревается в причастности к созданию инструмента удаленного доступа «HAMMERTOSS» , который использует такие популярные веб-сайты, как Twitter и GitHub, для передачи командных данных . [14]
Seaduke — это высоконастраиваемый, малозаметный троян , используемый только для небольшого набора высокоценных целей. Обычно Seaduke устанавливается на системах, уже зараженных гораздо более широко распространенным CozyDuke. [12]
Cozy Bear, похоже, имеет разные проекты с разными группами пользователей. В центре внимания его проекта «Nemesis Gemina» находятся военный, правительственный, энергетический, дипломатический и телекоммуникационный секторы. [11] Факты свидетельствуют о том, что целями Cozy Bear были коммерческие структуры и правительственные организации в Германии, Узбекистане, Южной Корее и США, включая Государственный департамент США и Белый дом в 2014 году. [13]
В марте 2014 года в частном исследовательском институте, расположенном в Вашингтоне, округ Колумбия, был обнаружен CozyDuke (Trojan.Cozer) в своей сети. Затем Cozy Bear начал кампанию по электронной почте, пытаясь заставить жертв нажать на флэш-видео офисных обезьян, которое также включало вредоносные исполняемые файлы. [1] [12] К июлю группа взломала правительственные сети и направила зараженные CozyDuke системы на установку Miniduke в взломанную сеть. [12]
Летом 2014 года цифровые агенты Службы общей разведки и безопасности Нидерландов проникли в Cozy Bear. Они обнаружили, что эти российские хакеры были нацелены на Демократическую партию США, Государственный департамент и Белый дом. Их доказательства повлияли на решение ФБР начать расследование. [5] [15]
В августе 2015 года Cozy Bear был связан с фишинговой кибератакой на систему электронной почты Пентагона , что привело к закрытию всей несекретной системы электронной почты Объединенного штаба и доступа в Интернет на время расследования. [16] [17]
В июне 2016 года Cozy Bear был замешан вместе с хакерской группой Fancy Bear в кибератаках на Национальный комитет Демократической партии . [2] Хотя обе группы присутствовали на серверах Национального комитета Демократической партии в одно и то же время, каждая из них, по-видимому, не знала о существовании другой, независимо друг от друга крадя одни и те же пароли и иным образом дублируя усилия друг друга. [18] Криминалистическая группа CrowdStrike установила, что, хотя Cozy Bear находился в сети Национального комитета Демократической партии более года, Fancy Bear находился там всего несколько недель. [19] Более сложные методы работы Cozy Bear и его интерес к традиционному долгосрочному шпионажу позволяют предположить, что группа происходит из отдельного российского разведывательного агентства. [18]
После президентских выборов в США в 2016 году Cozy Bear был связан с серией скоординированных и хорошо спланированных фишинговых кампаний против аналитических центров и неправительственных организаций (НПО) США. [20]
3 февраля 2017 года Служба безопасности полиции Норвегии (PST) сообщила, что были предприняты попытки фишинга учетных записей электронной почты девяти лиц в Министерстве обороны , Министерстве иностранных дел и Лейбористской партии . Действия были приписаны Cozy Bear, чьими целями были Норвежское управление по радиационной защите , руководитель отдела PST Арне Кристиан Хаугстёйл и неназванный коллега. Премьер-министр Эрна Сульберг назвала эти действия «серьезной атакой на наши демократические институты». [21] Сообщается, что атаки были совершены в январе 2017 года. [22]
В феврале 2017 года выяснилось, что Cozy Bear и Fancy Bear предприняли несколько попыток взломать голландские министерства, включая Министерство общих дел , за предыдущие шесть месяцев. Роб Бертоли , глава AIVD, сказал на EenVandaag , что хакеры были русскими и пытались получить доступ к секретным правительственным документам. [23]
На брифинге в парламенте министр внутренних дел и по делам королевства Нидерландов Рональд Пластерк объявил, что голоса на всеобщих выборах в Нидерландах в марте 2017 года будут подсчитываться вручную. [24]
Подозрения о том, что Cozy Bear прекратил свою деятельность, были развеяны в 2019 году обнаружением трех новых семейств вредоносных программ, приписываемых Cozy Bear: PolyglotDuke, RegDuke и FatDuke. Это показывает, что Cozy Bear не прекратил свою деятельность, а разработал новые инструменты, которые было сложнее обнаружить. Целевые компрометации с использованием этих недавно обнаруженных пакетов в совокупности называются Operation Ghost. [25]
В июле 2020 года Агентство национальной безопасности , Национальная комиссия по безопасности и Комиссия по государственной службе обвинили Cozy Bear в попытке украсть данные о вакцинах и методах лечения COVID-19 , разрабатываемых в Великобритании, США и Канаде. [26] [27] [28] [29] [4]
8 декабря 2020 года американская фирма по кибербезопасности FireEye сообщила, что коллекция ее фирменных инструментов для исследования кибербезопасности была украдена, возможно, «страной с первоклассными наступательными возможностями». [30] [31] 13 декабря 2020 года FireEye объявила, что расследование обстоятельств этой кражи интеллектуальной собственности выявило «глобальную кампанию по вторжению... [использующую] атаку на цепочку поставок, троянизирующую обновления бизнес-ПО SolarWinds Orion с целью распространения вредоносного ПО, которое мы называем SUNBURST... Эта кампания могла начаться еще весной 2020 года и... является работой высококвалифицированного лица, [использующего] значительную операционную безопасность». [32] [ рекламный источник? ]
Вскоре после этого SolarWinds подтвердила, что несколько версий их продуктов платформы Orion были скомпрометированы, вероятно, иностранным государством. [33] Последствия атаки побудили Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустить редкую чрезвычайную директиву. [34] [35] Около 18 000 клиентов SolarWinds подверглись воздействию SUNBURST, включая несколько федеральных агентств США . [36] Источники Washington Post назвали Cozy Bear группой, ответственной за атаку. [37] [4]
По данным Microsoft, [38] хакеры затем украли сертификаты подписи, которые позволили им выдавать себя за любого из существующих пользователей и учетных записей цели с помощью Security Assertion Markup Language . Обычно сокращенно SAML, язык на основе XML предоставляет поставщикам удостоверений возможность обмениваться данными аутентификации и авторизации с поставщиками услуг. [39]
В июле 2021 года Cozy Bear взломал системы Республиканского национального комитета . [40] [41] Чиновники заявили, что, по их мнению, атака была проведена через Synnex . [40] Кибератака произошла на фоне более масштабных последствий атаки с целью вымогательства, распространенной через скомпрометированное программное обеспечение Kaseya VSA . [40]
24 августа 2022 года компания Microsoft сообщила, что клиент был скомпрометирован атакой Cozy Bear, которая имела очень высокую устойчивость на сервере федеративных служб Active Directory , и назвала этот метод атаки «MagicWeb», атака, которая «манипулирует сертификатами аутентификации пользователя, используемыми для аутентификации». [42]
В январе 2024 года Microsoft сообщила, что недавно обнаружила и прекратила взлом, начавшийся в ноябре прошлого года, учетных записей электронной почты их высшего руководства и других сотрудников юридических отделов и отделов кибербезопасности с использованием «парольного спрея», формы атаки методом подбора паролей . Этот взлом, проведенный Midnight Blizzard, по-видимому, был направлен на то, чтобы узнать, что компания знала о хакерской операции. [43]
28 июня 2024 года TeamViewer SE объявила, что ее корпоративная сеть подверглась атаке. Компания приписала атаку ATP29/Cozy Bear. [44]